未経験でも、安心して「診断士」へ。レオンテクノロジーの育成設計

「セキュリティに興味はあり、勉強もしてきたけれど、実際に仕事としてと考えると本当にやっていけるのか不安」
これは、レオンテクノロジーの新卒の採用面談で、最もよく聞く声のひとつです。
今回は、脆弱性診断士育成プログラムの設計を担当するSさんに、レオンがどのように“新卒のメンバーの成長”を支えているのかを聞きました。
中途採用でも何かしらのエンジニア経験を活かして、セキュリティは未経験で入社するパターンも多いので、そういう方にも参考にしていただけると思います。

「分からない」と言えることが、最初の一歩

―― 未経験の方を育成する上で、最も大切にしていることは何ですか？

Sさん：
一番大事にしているのは、「分からないことを、分からないと言える状態をつくること」ですね。
脆弱性診断は専門性が高い分野なので、最初から理解できる人はいません。
それなのに「分かったふり」をしてしまうと、どこかで必ずつまずきます。

だからレオンでは、

• 質問すること
• 立ち止まること
• 理解に時間がかかること

これらをネガティブに扱いません。むしろ、成長のために必要なプロセスだと考えています。

いきなり現場に出さない理由

―― 教育プログラムは、どのように設計されているのでしょうか？

Sさん：
大きな特徴は、フェーズ制です。「いきなり難しいことをやらせない」ことを強く意識しています。
全体としては、約3か月・10週間で基礎 → 理解 → 実践へと段階的に進みます。各フェーズの内訳は、フェーズ0＝2週間、フェーズ1＝4週間、フェーズ2＝4週間です。

• フェーズ0（基礎）
  プログラミングやWebの仕組みを、実際に手を動かしながら学ぶ。ここではPHPとDocker環境を用意し、まずは手を動かして「50〜60％理解できたら次へ進む」方針で、ソースコードレベルの理解を掴みます。
• フェーズ1（理解）
  脆弱性とは何か、なぜ危険なのか、どう見つけるのかを体系的に理解する。
• フェーズ2（実践）
  疑似環境を使い、診断から報告までの一連の流れを経験する。いきなり本番案件に入るのではなく、失敗しても安全な「やられ環境」で実務に近い演習を行います。

「現場で失敗する前に、安全に失敗できる場所を用意する」――それが、この設計の狙いです。

“教えすぎない”のも、育成のうち

―― サポートはかなり手厚そうですね。

Sさん：
ただ、ずっと手取り足取り教えるわけではありません。最終的に目指しているのは、「自分で調べ、考え、必要なときに適切に質問できる状態」です。
セキュリティの世界は、技術も攻撃手法も日々変わります。誰かに答えをもらい続けないと動けない状態では、長く活躍できません。

そのために、

• 毎日の進捗共有（Slack上で日次報告を行い、詰まりの早期発見と適時サポートを可能にしています）
• 理解度のアウトプット
• フィードバックの往復

を通じて、自走力を育てています。

技術だけでは、診断士になれない

―― 技術面以外で重視している点はありますか？

Sさん：
あります。レオンでは、「伝える力」も診断士の重要なスキルだと考えています。
脆弱性を見つけるだけでは、仕事は終わりません。

• なぜ危険なのか
• どんな影響があるのか
• どう直せばいいのか

これを、相手に分かる言葉で伝える必要があります。だから育成の後半では、レポートの書き方や説明の仕方も、しっかり練習します。

「未経験」は、弱みではない！

―― 最後に、応募を迷っている方へメッセージをお願いします。

Sさん：
未経験であること自体は、まったく問題ありません。大事なのは、

1. 分からないことを放置しない
2. 自分の理解に向き合える
3. 学び続ける意志がある

この3つだと思っています。加えて、受講者の経験（開発経験の有無やIT知識）に応じて学習ルートを柔軟にカスタマイズできる点も、安心材料になるはずです。 [note.com]

レオンテクノロジーは、人を消耗させる会社ではなく、育てる会社でありたい。その環境は、本気で用意しています。

おわりに

レオンテクノロジーの育成は、「早く戦力にする」ための近道ではありません。
その代わり、着実に、長く活躍できる診断士を育てることに本気で向き合っています。
プログラム修了後はOJT（実案件）に合流し、現場で学びを定着させていきます。

研修プログラムについての概要はこちらから！ [note.com]

少しでも気になった方は、ぜひカジュアルに話を聞きに来てください。